- 博客(21)
- 资源 (4)
- 收藏
- 关注
RSS订阅原创 AI 威胁建模
随着DeepSeek R1的发布,带来了目前企业自建AI大模型,已成为一种必然的趋势,具体的应用场景也都在井喷式的发展。随之而来的安全问题,愈发引起关注。为全面的分析AI系统面临的安全的问题,通过在系统设计阶段,引入威胁建模的方法,是实现安全左移的一种有效方法。面向AI系统的威胁建模也有通用的实践方法,包括微软、AWS及OWASP都有相应的方法,主要采用STRIDE威胁建模方法,其他也可根据不同的需求采用,下面结合一些例子就关键环节简要说明。
2025-03-22 15:56:53
583
原创 MAL-RAG 多层次抽象检索增强生成原理
MAL-RAG的全称是多层次抽象检索增强生成,通过使用具有四个级别的文本块(多句子、段落、部分和文档)的多粒度分块策略来改进的RAG 检索。这种方法更好地满足了信息中不同详细程度的不同需求,通过利用富含摘要信息的更高级别数据块来缓解“迷失在中间”问题。图 1:原版 RAG(左)和 MAL-RAG(右)的比较。在 MAL-RAG 中,D、S、P 和 M 分别表示文档级块、部分级块、段落级块和多句子级块。。如图 2 所示,MAL-RAG 管道由两个主要阶段组成:索引和推理。在索引阶段。
2025-03-22 15:05:01
874
原创 模型上下文协议MCP-指南
模型上下文协议 (MCP) 是一种开放标准,可简化 AI 助手与外部数据源、工具和系统的集成。MCP 由 Anthropic 开发,旨在解决为 AI 模型提供实时、相关和结构化信息的挑战,同时保持安全性、隐私性和模块化。MCP 旨在充当“用于 AI 集成的 USB-C”,允许 AI 应用程序与各种数据存储库、工具或 API 之间建立一对多连接。它标准化了 AI 助手查询外部源和与外部源交互的方式,从而降低了多个自定义集成的复杂性。
2025-03-11 22:04:05
880
原创 完全自主化的AI代理不应被开发
“能动性(agency)”是自主AI系统概念的核心,在哲学文献中,能动性通常理解为具有行动能力的实体,通过有意向性行动的视角来理解能动性,其中行为是根据主体的心理状态(例如,信念、欲望)和他们出于某种原因采取行动的能力。但人工智能体并不具备人类意义上的心理状态,所以采用自主性(autonomous)来表达。
2025-03-11 20:58:57
965
原创 AI对企业架构的影响
根据TOGAF的定义,企业架构(Enterprise Architecture,EA)是一个架构框架或工具,用于帮助企业接受、创建、使用和维护架构。它基于迭代过程模型,注重最佳实践和已有架构的重用,旨在通过提供系统化、结构化的方法论,确保IT架构与业务战略紧密相连,推动数字化转型,优化资源利用,提高业务敏捷性,并促进跨部门、跨层级的沟通与协作。:用于发展能够满足商务需求的企业架构。ADM提供了一个循序渐进的流程,从架构愿景的确定到架构的维护和治理,涵盖了企业架构的全生命周期。
2025-03-07 12:15:28
935
原创 AI应用架构集成设计-梳理AI应用场景
根据企业架构的方法,应用架构支撑业务架构的实现,为满足AI赋能业务的要求,需要在应用架构设计阶段考虑引入AI服务。1、理解当前AI的能力发展,无论是自建还是采用外部的API;2、企业在AI的应用场景,哪些是核心场景?4、梳理工作流,识别具体的AI需求5、建立应用与AI组件的交互关系。
2025-03-07 11:01:38
974
原创 美国联邦政府网络安全评估模型
可以看到美国联邦政府相关指标的体系建设相对比较完整,首先,从顶层上明确了指标的职责分工体系,包括了指标的制定单位、汇报的对象单位,也明确了上报数据的频率;其次从内容上,也根据关注的对象分成了三类不同关注的指标,CIO指标偏向高层管理者,IG指标偏向于整体的安全评估,SAOP指标偏向于隐私和数据安全,因此需要独立出来。2014新的法案中强调了联邦政府的持续监测能力建设和风险评估的重要性,在上报数据中更加强调措施的安全的有效性,并且明确将信息安全作为员工的考核指标。安全需求,评估这些安全标准及需求的满足情况。
2023-07-16 16:19:02
1016
1
原创 DSP数据安全平台
Gartner通过引入DSP数据安全平台,重构了企业数据安全所需的三层数据安全能力,展现了未来的蓝图,也为数据安全平台的发展和数据安全的建设提供了较为全面的借鉴和参考:数据安全应是体系化的,应嵌入基础设施、按需提供数据安全服务、涉及人员和流程;数据安全的建设应组建跨数据分析、合规、安全等多个部门参与的组织推进;合规仍是推进、加速数据安全平台建设的主要驱动力;数据安全平台能力的汇聚聚合是市场持续发展的结果;数据安全的运营需求也是安全能力加强协作的动力;
2022-12-26 16:59:56
1201
原创 HSSEDI 构建可用的高级威胁模型
HSSEDI(美国国土安全系统工程与开发研究所)基于调研分析的基础上,着手构建了一个高级的适合多种场景的威胁模型。不同级别的威胁建模组合方法所调查的单个模型框架都难覆盖全部用途或范围,所需的威胁建模框架应可以在多个尺度上使用,并针对不同的目的进行定制,NGCI Apex的主要思路是通过两个不同的活动线程来构建,网络技术的转换及增强的网络攻防演练。图:NGCI Apex网络威胁模型的使用方法因此,高级别威胁模型,应支持技术的探寻、高级别或部门范围的风险评估或一般事件的网络推演;...
2022-08-25 22:53:17
1519
原创 常见威胁建模框架分析与比较
威胁建模的方法最初是为了帮助开发更多的安全的操作系统,但已经开发的大量威胁建模方法,有些只关注软件发展,有些仅涵盖业务或组织的风险和威胁,另有一些可能是技术性的,不同的威胁模型都在基于不同的目的而开发和使用的。美国国土安全部(DHS)的下一代网络基础设施(NGCI)Apex计划将使用威胁建模和网络攻防演练的方式来为风险指标的开发、技术的评估和探寻,以及为如何降低风险提供信息。DHS评估了现有的框架无法满足其NGCI Apex计划的需求,促使其开发一个威胁建模框架。 ...
2022-06-11 08:39:30
5654
原创 微软零信任用户访问架构解读
概述微软对零信任的理解和基于微软自身安全产品的实践,提出了零信任战略、原则及建设的关键举措和步骤,并围绕Azure AD构建零信任用户访问参考架构。本文主要对微软零信任的架构进行简要阐述和解读。
2022-05-31 15:12:12
2114
翻译 实现DevSecOps正确左移的宣言
对于 DevSecOps 服务和解决方案的提供商,重点应该是消除集成安全性的摩擦,并帮助团队团结起来,让安全成为每个人的责任
2022-05-02 22:05:58
215
原创 微软安全运营架构解读
微软安全安全架构解读-安全运营篇微软在其网络安全架构中对安全运营部分基于自身实践提出了安全运营架构,微软认为安全运营的主要挑战是安全运营工具的竖井,需要通过工具和数据进行集成,并提出了微软的安全运营架构和安全运行模型。竖井是安全运营的挑战安全运营在尝试跨系统跟踪攻击者时,经常面临内部的诸多障碍,由于企业IT产业复杂和资源类型繁多,安全工具的孤岛化,放大了这种复杂性。因为攻击者通常遵循生产用户在企业中访问资源的路径来完成攻击任务,攻击者则不会受到这种复杂性的影响,而防御者通常受限于孤立的工具,且缺乏对
2022-05-01 17:30:03
2175
1
原创 零信任数据保护
数据作为零信任的主要支柱之一,是重点保护的对象。虽然Gartner建议实施零信任网络访问是迈向零信任的一步,但更强大的方法是零信任数据访问ZTDA,是零信任架构的终极目标。零信任数据保护的基本方法是强策略控制直接应用于数据对象,利用可信数据格式TDF,少关注“攻击面”,多关注保护面,与SASE集成,建立零信任数据访问平台。
2022-05-01 17:07:36
780
翻译 企业架构框架主流工具比较
企业架构框架主流工具比较市场经济环境下能合理利用内外部资源,并能根据环境变化做出适当的调整,将使企业具有竞争优势,当企业规模较小时,企业对市场的反应会较灵敏,但随着规模达到一定程度时,企业的战略、组织、流程、内部利益等变得错综复杂,信息传递的链条和管控的链条也变得冗长,很难 “使大象跳舞”,造成的根本原因不是规模,而是难以将业务、应用、数据、技术等领域紧密和组合起来,因此就不能对市场做出快速和正确的响应。但在实际的实践过程中,真正使用EA的方法构建企业信息化架构的企业不多,更多的是作为思想指引,距离很好
2021-11-08 21:02:08
1531
1
翻译 理解和选择运行时安全自保护-RASP
理解和选择运行时安全自保护-RASP定义RASP运行时应用自我保护(RASP)是一种嵌入到应用程序或应用程序运行时环境的安全技术,在应用层检查请求,实时检测攻击和滥用。RASP产品通常包含以下功能:通常在应用程序上下文中进行解包和检查应用程序请求产品可以在多个执行点分析完整的请求,执行监控和阻止,有时甚至更改请求以去除恶意内容完整的功能可通过RESTful API访问防止所有类型的应用程序攻击,并确定攻击是否会成功查明漏洞所在的模块,还有特定的代码行仪表盘功能和使用情况报告使用案例
2020-09-05 11:27:10
1257
转载 ICT技术成熟度曲线:零信任、数据安全、云原生安全的兴起
一、技术成熟度曲线简介Gartner于近日发布了2020年的中国信息与通信技术(ICT)的成熟度曲线(Hype Cycle) [2],今天,绿盟君将从安全方面的视角观察相关技术的发展。众所周知,2020年是不平凡的一年,特别是新冠疫情的爆发,给全球经济、政治和人们生活带来了巨大的改变。而受新冠疫情冲击最早的正是中国,因而其影响也非常深远,特别是在抗疫期间,通过数字化转型支撑起了健康监控、远程办公、在线购物、物流配送、短视频等众多领域。对于企业而言,出于远程办公和削减开支的目的,在商业模式和基础设施层
2020-08-06 22:58:25
2073
原创 容器安全产品能力与架构分析
容器安全产品能力与架构分析市场容器安全产品能力比较市场上容器运行安全的产品和工具主要分为商业产品和开源工具,商业类的产品根据防护的侧重点不同分为通用的容器防护和容器网络的安全产品,但有些产品功能有交叉,很多产品的功能相似,其中NeuVector是较少涵盖网络安全和运行态安全方案的厂商。通用的容器安全商用产品,侧重运行态容器的内部及对外部的攻击防护侧重容器网络安全的商用产品,主要提供基于七层的安全检查和防护能力开源或免费的工具,主要提供单独领域的安全防护功能-Aqua Securi
2020-07-18 21:19:37
1471
翻译 谈云原生的安全
谈云原生安全概述随着云计算的不断发展,尤其是应用微服务化改造之后,保持微服务之间通信流量的安全要比保护单体应用的安全要困难的多,而在云原生环境下,动态的容器或Severless无服务器计算作为基础设施,识别用户操作的异常行为也变得更加困难。目前大多数组织的安全策略和工具并没有跟上微服务应用设计和部署方式的快速变化,传统的安全工具是为具有明确边界的IT环境设计的,为外挂和旁路的方式部署,而对于在原生云中可快速扩展的工作负载,这些安全工具几乎不能有效的实现安全防护和协作等。大多数组织并未因云原生架构的引
2020-07-15 21:02:27
2396
Forrester-2021_01-Introducing-The-Zero-Trust-Edge-Model
2021-11-08
DoD Enterprise DevSecOps Reference Design
2020-07-18
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人